天威誠信小課堂 | 想知道密評的要求和流程？安排！

　　哈嘍，艾瑞巴蒂，咱們又見面了！

　　上回書我們說到了密評的一些基礎知識，比如什么是密評？為嘛要做密評？以及密評的標準balabala……

　　摸清楚了密評的底子，今天我們就可以重點聊一聊密評的要求和流程了，注意！這可都是干貨噢！

　　密評總體要求

　　可以說這是所有信息系統在“過密評”時都需遵循的基本要求，包括密碼算法、密碼技術、密碼產品、密碼服務4個層面的相關要求，具體要求如下：

　　密碼算法：使用的密碼算法應當符合法律、法規的規定和密碼相關標準、行業標準的有關要求，重點關注密碼算法的合規性。

　　密碼技術：使用的密碼技術應遵循密碼相關國家標準和行業標準。重點關注加密技術的合規性，密碼技術應保證自身的安全性，可靠性，與信息系統的互聯互通性。

　　密碼產品：使用的密碼產品與密碼模塊應通過國家密碼管理部門核準?！懊艽a模塊”可包括密碼卡、密碼機、定制密碼模塊、密碼軟件等多種形態。重點關注密碼產品的合規性和有效性，密碼產品和密碼模塊需根據國家相關規定進行密碼產品安全等級確定、檢測。

　　密碼服務：使用的密碼服務應通過國家密碼管理部門許可。如CA認證機構應獲得《電子認證服務使用密碼許可證》以及《電子認證服務許可證》。

　　密碼功能要求

　　密碼功能要求是對密碼技術在信息系統中的使用場景起到什么作用的闡述，密碼功能要求包括機密性、完整性、真實性和不可否認性。

　　機密性：使用密碼加密功能，保障信息系統重要數據在傳輸、存儲過程中的保密性以及身份鑒別信息、密鑰數據的機密性。

　　完整性：使用消息校驗碼(MAC)或數字簽名實現完整性，保障信息系統重要數據在傳輸、存儲過程中的完整性以及身份鑒別信息、密鑰數據、日志記錄、訪問控制信息、資源敏感標記、重要程序、可信信任鏈、視頻監控記錄、電子門禁出入記錄的完整性。

　　真實性：使用對稱加密、動態口令、數字簽名等實現真實性，保障信息系統中各類基礎設施、軟硬件設備以及業務應用系統的用戶身份鑒別信息的真實性。

　　不可否認性:使用數字簽名等密碼技術實現實體行為的不可否認性，保障信息系統中無法否認的操作行為，如發送、接收、審批、創建、修改、刪除、添加、配置等。

　　密碼技術應用要求、密鑰管理和安全管理

　　密碼技術應用要求包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全；密鑰管理主要從密鑰的生成、存儲、分發、導入、導出的安全性和正確性；使用的正確性；備份和恢復的可靠性；歸檔的安全性與正確性；緊急情況下的銷毀等環節提出相應的要求。安全管理包括制度、人員、實施和應用四個維度。

　　上述的這三個層面分別對信息系統(等級保護1級到4級系統)如何使用密碼提出了要求，要求強度使用應、宜、可三個級別來表示。

　　密評流程主要有哪些?

　　“密評”的實施流程主要包括密碼應用方案評估、測評準備、方案編制、現場測評、測評結論分析、密碼測評報告編制。

　　需要注意的是，測評雙方之間的溝通與洽談貫穿整個密碼應用安全性評估過程。其中，測評對象包括安全人員、管理員、密碼產品、網絡設備、服務器、數據庫、安全設備、操作系統、應用系統、業務系統、技術文檔、管理制度文檔等；測評工具涉及協議分析工具、端口掃描工具、滲透測試工具、算法和隨機性檢測工具、密碼應用檢測工具、密碼安全協議檢測工具等。

　　2022“密評”大考在即，包括金融、電信、能源、教育、公安、交通等在內的各類基礎信息網絡和重要信息系統都應加強重視，以免影響正常業務的開展。

　　作為擁有國家認可資質的電子認證服務機構，天威誠信始終以密碼應用服務為核心，在遵循《密碼法》等相關法律要求的前提下，依托深厚的密碼服務能力和經驗，為企業客戶夯實密碼建設基礎，通過建設符合“密評”要求的密碼應用體系，幫助客戶順利通過“密評”，持續助力客戶線上化業務的開展。